Prozkoumání metod ověřování agenta zabezpečení
Služba Microsoft Defender for IoT poskytuje referenční architekturu pro agenty zabezpečení. Agenti zabezpečení můžou protokolovat, zpracovávat, agregovat a dodávat data zabezpečení prostřednictvím služby IoT Hub.
Agenti zabezpečení jsou navrženi tak, aby fungovali v prostředí IoT s omezenými prostředky. Agenti zabezpečení jsou také vysoce přizpůsobitelné z hlediska hodnoty, kterou poskytují v porovnání s prostředky, které spotřebovávají.
Agenti zabezpečení podporují následující funkce:
- Shromažďují nezpracované události zabezpečení ze základního operačního systému (Linux, Windows).
- Agregují nezpracované události zabezpečení a vytvářejí zprávy, které se doručují prostřednictvím ioT Hubu.
- Ověřují se buď pomocí existující identity zařízení, nebo pomocí vyhrazené identity modulu.
- Vzdáleně konfigurují pomocí dvojčete modulu azureiotsecurity .
Modul zabezpečení se vyžaduje pro každé zařízení nasazené v programu Microsoft Defender for IoT ve službě IoT Hub. K ověření zařízení může Microsoft Defender pro IoT použít jednu ze dvou metod:
- Možnost SecurityModule
- Možnost zařízení.
Metody ověřování
Následující informace vám pomohou vybrat si mezi těmito dvěma metodami ověřování:
- Režim ověřování SecurityModule
Agent se ověřuje pomocí identity modulu zabezpečení nezávisle na identitě zařízení. Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení používal vyhrazenou metodu ověřování prostřednictvím modulu zabezpečení (pouze symetrický klíč).
- Režim ověřování zařízení.
V této metodě se agent zabezpečení nejprve ověří pomocí identity zařízení. Po počátečním ověření provede agent Microsoft Defender for IoT volání REST do služby IoT Hub pomocí rozhraní REST API s ověřovacími daty zařízení. Agent Microsoft Defender for IoT pak požádá o metodu ověřování modulu zabezpečení a data ze služby IoT Hub. V posledním kroku provede agent Microsoft Defender for IoT ověřování vůči modulu Microsoft Defender for IoT.
Tento typ ověřování použijte, pokud chcete, aby agent zabezpečení používal existující metodu ověřování zařízení (certifikát podepsaný svým držitelem nebo symetrický klíč).
Známá omezení metod ověřování
Režim ověřování SecurityModule podporuje pouze ověřování symetrického klíče.
Režim ověřování zařízení nepodporuje certifikát podepsaný certifikační autoritou.
Parametry instalace agenta zabezpečení
Při nasazování agenta zabezpečení je nutné zadat podrobnosti ověřování jako argumenty. Tyto argumenty jsou popsané v následující tabulce.
Název parametru Linuxu
Název parametru Windows
Zkrácený parametr
Popis
Možnosti
authentication-identity
AuthenticationIdentity
aui
Identita ověřování.
SecurityModule nebo zařízení
metoda ověřování
AuthenticationMethod
Aum
Metoda ověřování.
SymmetricKey nebo SelfSignedCertificate
cesta k souboru
Filepath
f
Absolutní úplná cesta k souboru obsahujícímu certifikát nebo symetrický klíč.
název hostitele
Název hostitele
Hn
Plně kvalifikovaný název domény služby IoT Hub.
Příklad: ContosoIotHub.azure-devices.net
ID zařízení
DeviceId
Di
ID zařízení.
Příklad: MyDevice1
druh umístění certifikátu
CertificateLocationKind
Cl
Umístění úložiště certifikátů
LocalFile nebo Store
Když nasadíte agenta zabezpečení s instalačním skriptem, automaticky se vytvoří konfigurační soubor.
Změna metody ověřování po nasazení
Chcete-li po nasazení změnit metody ověřování, je vyžadována ruční úprava konfiguračního souboru.
Agent zabezpečení založený na C#
Upravte Authentication.config s následujícími parametry:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agent zabezpečení na základě jazyka C
Upravte LocalConfiguration.json s následujícími parametry:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}